Freigeben über


Installieren des Microsoft Intune Certificate Connector

Sie können Microsoft Intune Certificate Connector auf jeder Windows Server-Instanz installieren, die die Voraussetzungen erfüllt, um Ihre Zertifikate mit Intune verwenden zu können. Die folgenden Abschnitte helfen Ihnen bei der Installation und anschließenden Konfiguration des Connectors. In diesem Artikel wird auch erläutert, wie Sie einen zuvor installierten Connector ändern oder von einem Server entfernen.

Herunterladen und Installieren der Connectorsoftware

  1. Melden Sie sich beim Microsoft Intune Admin Center an.

  2. Wählen Sie Mandantenverwaltung>Connectors und Token>Zertifikatconnectors>Hinzufügen aus.

  3. Wählen Sie im Bereich Zertifikatconnector installieren den Link Zertifikatconnector aus, um die Connectorsoftware herunterzuladen. Speichern Sie die Datei an einem Ort, auf den von dem Server aus zugegriffen werden kann, auf dem der Connector installiert wird.

    Zertifikatconnectorsoftware herunterladen

  4. Melden Sie sich bei der Windows Server-Instanz an, auf der der Zertifikatconnector gehostet werden soll, und vergewissern Sie sich, dass die Voraussetzungen für diesen installiert sind.

    Um das Simple Certificate Enrollment-Protokoll (SCEP) mit einer Microsoft Certification Authority (CA) zu verwenden, vergewissern Sie sich, dass die NDES-Rolle (Network Device Enrollment Service) installiert ist.

  5. Verwenden Sie ein Konto mit Administratorrechten auf dem Server, um das Installationsprogramm (IntuneCertificateConnector.exe) auszuführen. Das Installationsprogramm installiert auch das Richtlinienmodul für NDES. Das Richtlinienmodul wird als Anwendung in IIS ausgeführt.

    Hinweis

    Wenn IntuneCertificateConnector.exe ausgeführt wird, um einen neuen Connector oder ein vorhandenes automatisches Upgrade für den Connector zu installieren, während die Windows-Ereignisanzeige geöffnet ist, protokolliert der Installationsvorgang eine Meldung ähnlich der folgenden mit der Ereignis-ID 1000 aus der Quelle Microsoft-Intune-CertificateConnectors kann nicht gefunden werden:

    • Entweder ist die Komponente, die dieses Ereignis auslöst, auf Ihrem lokalen Computer nicht installiert, oder die Installation ist beschädigt. Sie können die Komponente auf dem lokalen Computer installieren oder reparieren.

    Sie können diese Meldung bedenkenlos ignorieren. Diese Meldung wird angezeigt, weil das Manifest der Ereignisanzeige für den Connector nicht geladen werden konnte, während die Ereignisanzeige geöffnet ist. Sobald die Ereignisanzeige geschlossen und neu geöffnet wurde, werden die richtigen Meldungen angezeigt.

  6. Lesen Sie die Lizenzbedingungen, stimmen Sie diesen zu, und wählen Sie Installieren aus, um fortzufahren. Wählen Sie Optionen aus, um einen anderen Installationsordner auszuwählen.

  7. Die Installation des Connectors dauert nur wenige Sekunden. Nach der Installation zeigt das Setup zwei Optionen an:

    • Jetzt konfigurieren: Wenn Sie diese Option auswählen, wird die Installation des Connectors geschlossen, und der Assistent für den Microsoft Intune Certificate Connector wird geöffnet. Mit diesem konfigurieren Sie den Zertifikatconnector auf dem lokalen Server.

    • Schließen: Wenn Sie diese Option auswählen, wird die Installation des Connectors ohne Konfiguration abgeschlossen. Wenn Sie die Installation an diesem Punkt abschließen, können Sie den Assistenten für den Microsoft Intune Certificate Connector auch später ausführen, um das Konfigurationsprogramm zu starten. Standardmäßig befindet sich der Assistent unter C:\ProgramData\Microsoft\Windows\Startmenü\Programme\Microsoft Intune.

Nach der Installation eines Connectors können Sie das Installationsprogramm erneut ausführen, um den Connector zu deinstallieren.

Tipp

Das Installationsprogramm versucht, .NET Framework 4.7.2 zu installieren. Wenn während dieses Vorgangs Probleme auftreten, können Sie .NET Framework mithilfe des Offlineinstallationsprogramms von Microsoft .NET Framework 4.7.2 für Windows vorinstallieren.

Konfigurieren des Zertifikatconnectors

Verwenden Sie den Assistenten für den Microsoft Intune Certificate Connector, um den Zertifikatconnector zu konfigurieren. Die Konfiguration kann automatisch gestartet werden, wenn Sie am Ende einer Installation des Zertifikatconnectors Jetzt konfigurieren auswählen, oder sie kann manuell gestartet werden, indem Sie eine Eingabeaufforderung mit erhöhten Rechten öffnen und C:\Programme\Microsoft Intune\PFXCertificateConnector\ConnectorUI\PFXCertificateConnectorUI.exe ausführen. Es folgt ein Beispiel. Sie müssen den Befehl als Administrator ausführen.

C:\Program Files\Microsoft Intune\PFXCertificateConnector\ConnectorUI\PFXCertificateConnectorUI.exe

Jedes Mal, wenn Der Zertifikatconnector für Microsoft Intune auf einem Server gestartet wird, sollte die folgende Willkommensseite angezeigt werden:

Willkommensseite des Assistenten für den Microsoft Intune Certificate Connector

Tipp

Wenn Sie Certificate Connector für Microsoft Intune ausführen, um einen zuvor konfigurierten Connector zu ändern, wird die Microsoft Entra Anmeldeseite nicht angezeigt. Dies liegt daran, dass der Connector bereits bei Ihrem Microsoft Entra ID authentifiziert wurde.

Befolgen Sie die folgenden Schritte, um einen neuen Connector zu konfigurieren und einen zuvor konfigurierten Connector zu bearbeiten.

  1. Wählen Sie auf der Seite Willkommen des Microsoft Intune Certificate Connector die Option Weiter aus.

  2. Aktivieren Sie unter Features das Kontrollkästchen für jedes Connectorfeature, das Sie auf diesem Server installieren möchten, und wählen Sie dann Weiter aus. Die folgenden Optionen stehen zur Verfügung:

    • SCEP: Wählen Sie diese Option aus, um die Zertifikatübermittlung an Geräte von einer Microsoft Active Directory-Zertifizierungsstelle mithilfe des SCEP-Protokolls zu aktivieren. Geräte, die eine Zertifikatanforderung übermitteln, generieren ein paar private/öffentliche Schlüssel und übermitteln nur den öffentlichen Schlüssel als Teil dieser Anforderung.

    • PKCS: Wählen Sie diese Option aus, um die Zertifikatübermittlung an Geräte von einer Microsoft Active Directory-Zertifizierungsstelle im PKCS #12-Format zu aktivieren. Stellen Sie sicher, dass Sie alle erforderlichen Voraussetzungen eingerichtet haben.

    • Importierte PKCS-Zertifikate: Wählen Sie diese Option aus, um die Zertifikatübermittlung an Geräte für pfx-Zertifikate zu aktivieren, die Sie in Intune importieren. Stellen Sie sicher, dass Sie alle erforderlichen Voraussetzungen eingerichtet haben.

    • Zertifikatsperrung: Wählen Sie diese Option aus, um die automatische Zertifikatsperrung für Zertifikate zu aktivieren, die von einer Microsoft Active Directory-Zertifizierungsstelle ausgestellt wurden.

  3. Wählen Sie unter Dienstkonto den Kontotyp aus, der für das Dienstkonto dieses Connectors verwendet werden soll. Das ausgewählte Konto muss über die Berechtigungen verfügen, die in den Voraussetzungen für das Dienstkonto des Zertifikatconnectors beschrieben werden.

    Die folgenden Optionen stehen zur Verfügung:

    • SYSTEM
    • Domänenbenutzerkonto: Verwenden Sie ein beliebiges Domänenbenutzerkonto, das Administrator auf der Windows Server-Instanz ist.
  4. Geben Sie auf der Seite Proxy die Details für Ihren Proxyserver ein, wenn Sie einen Proxy für den Internetzugriff benötigen. Beispiel: http://proxy.contoso.com.

    Wichtig

    Achten Sie darauf, das HTTP- oder HTTPS-Präfix einzuschließen. Dies ist eine Änderung gegenüber der Proxykonfiguration für frühere Versionen des Connectors.

  5. Auf der Seite Voraussetzungen führt der Assistent mehrere Überprüfungen für den Server durch, bevor die Konfiguration beginnen kann. Überprüfen und beheben Sie alle Fehler oder Warnungen, bevor Sie fortfahren.

  6. Wählen Sie auf der Microsoft Entra Anmeldeseite (die als Azure AD-Anmeldung angezeigt wird) die Umgebung aus, in der Ihre Microsoft Entra ID gehostet wird, und wählen Sie dann Anmelden aus. Authentifizieren Sie dann Ihren Zugriff, wenn Sie dazu aufgefordert werden. Für das Konto, mit dem Sie sich anmelden, ist eine Intune Lizenz erforderlich, bei dem es sich entweder um einen globalen Administrator oder einen Intune-Administrator handeln kann.

    Sofern Sie keine Government-Cloud verwenden, verwenden Sie die Standardeinstellung Public Commercial Cloud (Öffentliche kommerzielle Cloud) für Umgebung.

    Authentifizieren Sie sich bei Ihrem Microsoft Entra ID.

    Nachdem Sie sich erfolgreich bei Ihrem Microsoft Entra ID authentifiziert haben, wählen Sie Weiter aus, um fortzufahren:

    Erfolgreiche Anmeldung bei Microsoft Entra ID.

  7. Auf der Seite Konfigurieren wendet Intune Ihre Auswahl auf den Connector an. Bei Erfolg zeigt das Hilfsprogramm die Seite Fertig stellen an, auf der Sie Beenden auswählen, um die Konfiguration des Connectors abzuschließen.

    Erfolgreiche Konfiguration des Zertifikatconnectors

    Wenn die Konfiguration nicht erfolgreich ist, zeigt der Assistent Details zu den Fehlern an, damit Sie das Problem beheben können.

Nachdem die Konfiguration erfolgreich abgeschlossen und der Assistent geschlossen wurde, ist der Microsoft Intune Certificate Connector einsatzbereit.

Tipp

Es kann hilfreich sein, den Connector umzubenennen, um auf den Server zu verweisen, auf dem der Connector installiert ist.

Um den Connector umzubenennen, wählen Sie im Microsoft Intune Admin Center Mandantenverwaltungsconnectors>und Token>Zertifikatconnectors aus. Wählen Sie den Connector aus, den Sie umbenennen möchten. Geben Sie in Name den Namen ein, den Sie verwenden möchten, und wählen Sie dann Speichern aus.

Bearbeiten der Connectorkonfiguration

Nachdem Sie einen Microsoft Intune Certificate Connector auf einem Server konfiguriert haben, können Sie den Konfigurations-Assistenten auf diesem Server ausführen, um die Connectorkonfiguration zu bearbeiten.

Entfernen des Connectors

Um den Zertifikatconnector für Microsoft Intune von einem Windows-Server zu deinstallieren, führen Sie auf dem Server IntuneCertificateConnector.exeaus. Dabei handelt es sich um die gleiche Software, die Sie zum Installieren des Connectorsverwenden. Wenn sie auf einem Server ausgeführt wird, auf dem ein Connector installiert ist, ist die einzige verfügbare Option das Entfernen der aktuellen Connectorinstallation.